Il Regolamento ePrivacy si pone lo scopo di aggiornare e riadattare allo stato dell’arte la Direttiva ePrivacy. La Direttiva ePrivacy infatti non poteva prevedere l’uso di tecnologie che oggi invece sono estremamente diffusi e utilizzati quotidianamente da milioni di persone
Che cosa è il regolamento ePrivacy?
Iniziamo dai fondamentali, per orientarci al meglio. Il Regolamento ePrivacy fa parte della più ampia strategia per la creazione di un mercato unico digitale promosso dall’Unione Europea fin dal 2015. La motivazione principale che ne è alla base è la necessità di rivedere alla luce dell’avanzamento tecnologico e della digitalizzazione la direttiva 2002/58/CE. Questa ultima è meglio conosciuta come Direttiva ePrivacy e risale al 2002 e disciplina il trattamento dei dati personali e la tutela della vita privata nell’ambito di ogni forma di comunicazione digitale o elettronica.
Insomma il Regolamento ePrivacy si pone lo scopo di aggiornare e riadattare allo stato dell’arte la Direttiva ePrivacy. La Direttiva ePrivacy infatti non poteva prevedere l’uso di tecnologie che oggi invece sono estremamente diffusi e utilizzati quotidianamente da milioni di persone. Parliamo, ad esempio, delle tecnologie Internet of Things (IoT) e dei servizi di comunicazione via Internet, ma anche delle intelligenze artificiali.
Precisiamo un punto: il regolamento ePrivacy è ancora una bozza, pur in via di approvazione, mentre la Direttiva ePrivacy è a tutt’ora vigente e vincolante. Poco più sotto troverai l’iter legislativo.
Quale normativa è attualmente in vigore > GDPR e sitiweb: cosa è utile sapere per la conformità alle linee guida del Garante sui cookie – 10 Gennaio 2022
Per quali finalità è pensato il Regolamento ePrivacy?
Il Regolamento ePrivacy è necessario per tenere il passo con il ritmo rapido con cui si stanno sviluppando i servizi informatici. L’obiettivo che si pone è quello di normare proprio lo sviluppo delle nuove tecnologie. Per dirlo con le parole di Pedro Nuno Santos, che ha avuto il mandato del Consiglio dell’Unione Europea per giungere ad un testo definitivo nel confronto col Parlamento Europeo:
È fondamentale disporre di norme solide in materia di tutela della vita privata al fine di creare e mantenere la fiducia in un mondo digitale. […] Dobbiamo trovare un buon equilibrio tra una solida tutela della vita privata delle persone e la promozione dello sviluppo di nuove tecnologie e dell’innovazione”.
L’obiettivo insomma è quello di garantire la massima riservatezza delle comunicazioni elettroniche, comprese le comunicazioni di dati tramite:
- dispositivi IoT, visto che tali sistemi comportano un “trasferimento automatizzato di dati e informazioni tra dispositivi o applicazioni basate su software con interazione umana limitata o inesistente”;
- direct marketing (verranno vietate le comunicazioni elettroniche non richieste -spam- effettuate tramite e-mail, SMS e chiamate);
- telecomunicazioni. L’attenzione principale in questo campo è sui cosiddetti sistemi Over the Top (OTT). Si intendono cioè tutti i servizi che consentono lo scambio diretto di informazioni tramite Internet. Per dirlo in parole semplici si parla di messaggistica istantanea, servizi email, VoIP ecc…
- intelligenze artificiali.
Uno strumento quindi per tutelare tutti noi dai fenomeni di abuso dei dati personali.
Quali campi andrà a regolare il Regolamento ePrivacy? Saranno in dettaglio regolamentati:
- termini di utilizzo e condizioni dei dati raccolti dalle vendite, regolando l’attivitò di direct marketing;
- i cookies e tuti gli strumenti di tracciamento;
- il trattamento dei dati contenuti nelle comunicazioni elettroniche. Dal contenuto dei massaggi scambiati a, in particolare, i metadati delle comunicazioni. Questi metadati possono esser infatti usari per tracciare sia la fonte che il destinatario di una comunicazioni, per localizzare il dispositivo, per individuare data, ora, durata e tipo della comunicazione.
- metadati che potrebbero rivelare dati sensibili, nel caso in cui permettando di individuare dettagli sulla vita privata, le relazioni sociali, i gusti, le attività e gli interessi degli utenti.
L’EDPB afferma che il Regolamento non dovrà in alcun modo abbassare il livello di tutela garantito dalla Direttiva ePrivacy. Inoltre, dovrà integrare il GDPR con ulteriori norme che riguardano tutti i tipi di comunicazione elettronica.
Whatsapp, Signal, Telegram e simili: quali limitazioni introdurrà il Regolamento ePrivacy?
La bozza di regolamento contiene riferimenti precisi ai sistemi di messaggistica che utilizzano protocolli web. Vi rientrano appunto Whatsapp, Facebook Messenger, Skype, Signal, Telegram ecc…
Il perchè vi sia bisogno di aggiornare la Direttiva ePrivacy in questo campo è chiaro: i servizi di telefonia classici come messaggi di testo, email e telefonia vocale sono sempre più spesso sostituiti da servizi online equivalenti come i cosiddetti Voice over IP, i servizi di messaggistica e le webmail.
Preso atto dello stato dell’arte il Regolamento ePrivacy si propone appunto l’estensione del concetto di comunicazione elettronica anche a questi servizi, affinché siano obbligati a garantire lo stesso livello di riservatezza delle comunicazioni degli altri operatori di comunicazioni tradizionali. Da questo punto di vista quindi il regolamento ePrivacy si applicherà a tutti i servizi che consentono la comunicazione elettronica tra un numero finito di utenti finali.
Quali differenze tra direttive UE e Regolamenti UE?
Tra la Direttiva ePrivacy e il Regolamento ePrivacy vi sono non poche novità. Anzitutto è utile una distinzione giurisprudenziale. Per il diritto europeo
- la direttiva è una fonte del diritto Europeo che non è immediatamente applicabile, ma deve essere recepita dalla legge nazionale. Vincolano i paesi membbri a raggiungere determinati scopi entro una scadenza, lasciando allo Stato la scleta di forme e mezzi. Lo scopo è l’armonizzazione della normativa in un dato settore;
- anche il regolamento è una fonte del diritto europeo con portata generale, direttamente applicabile negli ordinamenti degli Stati Membri. Le previsioni dei regolamenti divengono vincolanti immediatamente, quindi non richiedono l’adozione di provvedimenti di attuazione da parte degli Stati Membri.
Una volta approvato, il Regolamento ePrivacy sarà immediatamente in vigore, come è stato per il GDPR. La volontà è chiara. In nessuna circostanza gli stati membri dovranno prevedere differenze di trattamento dei dati nei diversi stati membri.
Dalla direttiva e-Privacy al regolamento e-Privacy: differenze?
Le novità a grandi linee saranno:
- principio di riservatezza:
il principio di riservatezza dei dati diviene principio generale, anche nelle comunicazioni elettroniche. Concretamente significa il divieto di interferire con le comunicazioni, ascoltare e monitorare comunicazioni, divieto di trattamento dei dati da parte di soggetti diversi dall’utente finale; - efficacia territoriale:
il Regolamento ePrivacy vincolerà indipendentemente dal fatto che i dati siano trattati nell’Unione e dal fatto che il fornitore di servizi o persona siano o meno situati nell’Unione. Inoltre se l’interessato ha avuto accesso ai servizi da luogo interno all’UE, dovrà vedersi riconosciuti diritti e obblighi9 derivanti dal Regolamento, indipendentemente da ogni altra variabile; - applicabilità:
il nuovo Regolamento si applicherà sia alle persone fisiche che alle persone giuridiche. I dati delle comunicazioni elettroniche infatti possono mettere a repentaglio informazioni sensibili riguardanti anche enti, aziende e organizzazioni. Si pensi al segreti aziendale, a informazioni di valore economico ecc.. - divieto di uso dei metadati:
fatto salvo esplicito consenso, i fornitori di comunicazioni elettroniche, reti e servizi non potranno trattare metadati, con poche eccezioni previste. I metadati divengono quindi oggetto di interesse al pari del trattamento dati personali, secondo l’art.6 GDPR; - limiti all’Internet of Thing (IoT):
e ai sistemi di intelligenza artificiale che comportano un “trasferimento automatizzato di dati e informazioni tra dispositivi o applicazioni basate su software con interazione umana limitata o inesistente“.
Regolamento e-Privacy: un iter complicato
- 2015: si avvia la strategia per la promozione del mercato unico digitale dell’Unione Europea. La revisione della Direttiva ePrivacy si inserisce in questo frame;
- 10 Gennaio 2017: la Commissione Europea ha proposto la prima bozza del regolamento ePrivacy, destinato a sostituire la direttiva del 2002;
- 2018: due nuove bozze della proposta, una da parte della presidenza bulgara e una da quella austriaca.
- 2018/2019: la proposta è stata rimpallata da parte della Commissione, del Parlamento e del Consiglio UE
- 2019: pubblicati due testi, da parte della presidenza rumena e da quella finlandese.
- 2020: Il Regolamento ePrivacy non riesce a raggiungere il consenso della maggioranza.
- 2021: la presidenza portoghese ha proposto una bozza del regolamento al quale hanno seguito negoziati tra le istituzioni UE.
- 20 maggio 2021: cominciano le negoziazioni trilaterali tra la Commissione UE, il Parlamento UE e il Consiglio UE.
- 10 Febbraio 2021: il Consiglio dell’Unione Europea approva l’ultima versione del Regolamento ePrivacy;
- 20 giorni: il Regolamento entrerà in vigore 20 giorni dopo la pubblicazione in Gazzetta Ufficiale dell’Unione Europea e comincerà ad essere applicato due anni dopo (così come il GDPR, entrato in vigore il 24 maggio 2016 e attuato a partire da maggio 2028)
La situazione attuale
Nel 2022 si vociferava che la versione finale del Regolamento ePrivacy sarebbe entrata in vigore nel 2023, diventando applicabile nel 2025. Ad oggi però la proposta di legge sembra essere finita su un binario morto.
I rappresentanti dell’EDPS e della Commissione Europea hanno recentemente dichiarato, durante un evento presso l’Unione Europea a Bruxelles, che il processo legislativo si è inceppato e che non ci sono prospettive che venga approvato entro la legislatura.
Questo blocco è dovuto al fatto che ci sono ancora divergenze che riguardano la sicurezza nazionale delle telecomunicazioni, la conservazione dei dati e le sanzioni. Forse, dunque, il testo dovrà essere nuovamente riscritto.
Recentemente si sono anche moltiplicate le discussioni tra Commissione UE, Parlamento UE e Consiglio UE sulla forma dello strumento legislativo. Meglio una direttiva (che ogni Stato membro deve recepire poi con apposita normativa nazionale) o un regolamento, direttamente applicabile e immediatamente esecutivo?
La proposta di legge sarà oggetto di discussione della prossima legislatura europea.
Per quanto l’entrata in vigore del Regolamento sia ancora lontana, i titolari di un business online dovrebbero tenerne in considerazione la bozza, dato che esprime in modo chiaro quali caratteristiche dovranno avere i siti del futuro.
Nel frattempo sono stati però approvati altri Regolamenti che riguardano il digitale:
- 16 maggio 2022: il Consiglio UE approva in via definitiva il Digital Governance Act;
- Luglio 2022: il Parlamento Europeo approva il Digital Markets Act (DMA)
- 17 febbraio 2024: il Digital Service Act diventa legge.
Inoltre, a marzo o aprile è in programma l’approvazione dell’AI Act per regolare l’intelligenza artificiale generativa.
Articolo aggiornato il 06/03/2024